핵심 인사이트
- 소프트웨어 프로젝트 위험 관리(Risk Management)는 식별(Identification)→분석(Analysis)→대응(Response)→모니터링(Monitoring) 4단계로 구성되며, "예측할 수 없는 것은 관리할 수 없다"는 원칙에 따라 가시성(Visibility)을 최대화하는 체계다.
- 위험은 확률(Probability)×영향도(Impact)의 곱으로 우선순위가 결정되며, 위험 노출도(Risk Exposure) = P × I 매트릭스를 통해 한정된 대응 자원을 고위험 항목에 집중 투자하는 의사결정을 지원한다.
- 위험 대응 전략의 4가지(회피·전가·완화·수용)는 각각 비용과 잔존 위험의 트레이드오프가 다르며, PMBOK과 ISO 21502는 이를 프로젝트 성공의 핵심 역량으로 정의하고 공공 IT 사업 감리의 필수 점검 항목으로 규정한다.
Ⅰ. 위험 식별 (Risk Identification)
위험 식별 기법:
체크리스트 (Checklist):
과거 유사 프로젝트 위험 목록 활용
PMBOK 위험 분류 체계
브레인스토밍 (Brainstorming):
팀 전체 참여, 판단 없이 자유 제안
델파이 기법 (Delphi):
전문가 익명 설문 → 수렴
편향 없는 전문가 합의
인터뷰 (Interview):
이해관계자, 도메인 전문가
위험 분류 체계:
기술 위험: 신기술, 성능 요구사항
일정 위험: 의존성, 자원 가용성
비용 위험: 요구사항 변경, 외주
조직 위험: 인력 이탈, 의사소통
외부 위험: 법규 변경, 공급업체
📢 섹션 요약 비유: 위험 식별은 여행 전 위험 지도 만들기 — 출발 전에 가능한 모든 위험을 나열해야 대비할 수 있다.
Ⅱ. 위험 분석
정량적 분석:
위험 노출도 (Risk Exposure, RE):
RE = 발생 확률(P) × 영향도(I)
P: 0~1 (0=불가능, 1=확실)
I: 금전적 손실 또는 1~5 척도
우선순위 매트릭스:
영향도
높음 | 중 위험 | 고 위험 | 고 위험
중간 | 저 위험 | 중 위험 | 고 위험
낮음 | 저 위험 | 저 위험 | 중 위험
낮음 중간 높음 (확률)
정성적 분석:
1~5 척도로 단순 분류
빠른 초기 선별에 활용
몬테카를로 시뮬레이션:
불확실성 분포 모델링
1만 회 시뮬레이션 → 확률 분포 산출
프로젝트 완료 날짜 80% 신뢰 구간
📢 섹션 요약 비유: 위험 분석은 보험 설계 — "가능성 × 피해 규모"로 어떤 위험에 더 많은 보험료를 낼지 계산.
Ⅲ. 위험 대응 전략
위험 대응 4전략:
1. 회피 (Avoidance):
위험을 발생시키는 요인 제거
예: 신기술 사용 포기 → 검증된 기술로 대체
비용: 높음 / 잔존 위험: 없음
2. 전가 (Transfer):
위험을 제3자에게 이전
예: 보험 가입, 외주 계약 페널티 조항
비용: 중간 / 잔존 위험: 낮음
3. 완화 (Mitigation):
발생 확률 또는 영향도 감소
예: 프로토타입으로 기술 검증
핵심 인력 이탈 대비 크로스 트레이닝
비용: 중간 / 잔존 위험: 중간
4. 수용 (Acceptance):
위험을 그대로 받아들임
능동적: 대응 계획(Contingency Plan) 수립
수동적: 발생 시 대처 (소규모 위험)
비용: 낮음 / 잔존 위험: 높음
비상 예비비 (Contingency Reserve):
위험 대응을 위한 예산/일정 버퍼
예: RE 합산 × 0.5 = 비상 예비비
📢 섹션 요약 비유: 위험 대응은 우산 전략 — 회피(비 오는 날 여행 안 가기), 전가(우산 빌려주기), 완화(방수 코트 입기), 수용(젖어도 감기 안 걸림).
Ⅳ. 위험 모니터링
위험 모니터링 활동:
정기 검토:
주간/격주 위험 레지스터 검토
위험 상태 업데이트 (확률, 영향도 재평가)
위험 트리거 (Risk Trigger):
위험 발생 전 조기 경보 신호
예: 핵심 개발자 이직 면접 소문 → 인력 위험 트리거
잔존 위험 (Residual Risk):
대응 후 남은 위험
허용 기준 초과 시 추가 대응
2차 위험 (Secondary Risk):
대응 활동 자체가 만든 새 위험
예: 크로스 트레이닝 → 기존 담당자 업무 지연
위험 레지스터 (Risk Register):
ID, 설명, 확률, 영향도, RE, 대응, 담당자, 상태
프로젝트 전 기간 관리 문서
📢 섹션 요약 비유: 위험 모니터링은 기상 레이더 — 폭풍이 오기 전에 미리 감지하고 경로를 바꾸는 것, 이미 상륙 후 대피는 너무 늦다.
Ⅴ. 실무 시나리오 — 공공 IT 사업 위험 관리
공공 정보화 사업 위험 관리 계획:
사업: 차세대 행정 시스템 (200억원, 24개월)
주요 식별 위험:
R01: 레거시 연계 복잡도 과소평가 (P=0.7, I=4)
RE = 2.8 (고위험)
R02: 핵심 아키텍트 이탈 (P=0.3, I=5)
RE = 1.5 (중위험)
R03: 공공 클라우드 전환 지침 변경 (P=0.4, I=3)
RE = 1.2 (중위험)
R04: 테스트 데이터 법적 제약 (P=0.5, I=2)
RE = 1.0 (중위험)
대응 계획:
R01: 완화 - 레거시 분석 전담 TF 구성 (2개월)
R02: 완화 - 아키텍처 문서화 + 백업 인력 지정
R03: 회피 - 지침 안정화 후 클라우드 전환
R04: 전가 - 법무팀 사전 검토 의무화
감리 연계:
착수 감리: 위험 관리 계획 수립 확인
중간 감리: 위험 레지스터 최신화 여부 점검
완료 감리: 잔존 위험 수준 평가
📢 섹션 요약 비유: 공공 IT 위험 관리는 안전 점검표 — 대형 사업일수록 위험 레지스터가 두꺼워야 하고, 감리가 그 이행 여부를 검증한다.
📌 관련 개념 맵
위험 관리 (Risk Management)
+-- 4단계
| +-- 식별 (체크리스트, 브레인스토밍)
| +-- 분석 (RE = P × I, 매트릭스)
| +-- 대응 (회피, 전가, 완화, 수용)
| +-- 모니터링 (위험 레지스터, 트리거)
+-- 산출물
| +-- 위험 레지스터 (Risk Register)
| +-- 비상 예비비 (Contingency Reserve)
+-- 표준
+-- PMBOK (PMI)
+-- ISO 21502
+-- 공공 SW 사업 관리 가이드라인
📈 관련 키워드 및 발전 흐름도
[프로젝트 관리 이론 (1950s)]
PERT/CPM 불확실성 개념
|
v
[소프트웨어 위험 관리 (Boehm, 1989)]
"Software Risk Management" 출판
위험 관리 체계화
|
v
[PMBOK 위험 관리 절차 (PMI, 1990s~)]
국제 표준 프로세스 정립
|
v
[공공 IT 사업 위험 관리 의무화]
정보화 사업 관리 지침 (기획재정부)
|
v
[현재: AI 기반 위험 예측]
과거 프로젝트 데이터 ML 분석
위험 발생 확률 자동 산출
👶 어린이를 위한 3줄 비유 설명
- 위험 관리는 소풍 전에 "비가 올 수 있어, 차가 막힐 수 있어" 등 나쁜 일을 미리 생각하고 대비하는 것이에요.
- 각 위험에 "발생할 것 같은 정도 × 심각한 정도"로 점수를 매겨서 높은 위험부터 먼저 해결해요.
- 위험을 피하거나, 보험 들거나, 줄이거나, 그냥 받아들이는 4가지 방법 중 하나를 선택해서 대응 계획을 세워요!